Atacantes miraram com precisão a plataforma ESXi para efetuar criptografia
Após investigação de um ataque de ransomware, pesquisadores de segurança cibernética da Sophos identificaram o que foi um dos ataques mais rápidos que já investigaram. Os invasores executaram um script Python personalizado no hipervisor da máquina virtual do alvo para criptografar todos os discos virtuais, deixando as VMs da organização off-line.
De acordo com a Sophos, desde o momento do comprometimento inicial até a implantação do script de ransomware, os invasores passaram apenas pouco mais de três horas na rede do alvo antes de criptografar os discos virtuais em um servidor VMware ESXi.
A nova variante de malware, escrita em Python, foi implantada dez minutos depois que os hackers conseguiram invadir uma conta TeamViewer, plataforma de controle e acesso remoto, pertencente à organização vítima.
“Os invasores inicialmente acessaram seu ponto de apoio fazendo login em uma conta TeamViewer (uma que não tinha a autenticação multifator configurada), rodando em segundo plano em um computador que pertence a um usuário com credenciais de administrador de domínio na rede do alvo. Os invasores se conectaram 30 minutos após a meia-noite no fuso horário da organização alvo e, dez minutos depois, baixaram e executaram uma ferramenta chamada Advanced IP Scanner para identificar os alvos na rede”, escreveu Andrew Brandt, diretor de Pesquisa da Sophos, em publicação no blog da empresa.
Brandt conta que pouco antes das 2 da manhã, “os invasores baixaram um cliente SSH chamado Bitvise e o usaram para fazer login em um servidor VMware ESXi que identificaram usando o Advanced IP Scanner”.
VMware ESXi é um hipervisor bare-metal de nível corporativo usado pelo vSphere, um sistema projetado para gerenciar contêineres e máquinas virtuais (VMs). Segundo Brandt, “os servidores ESXi têm um serviço SSH integrado chamado ESXi Shell que os administradores podem habilitar, mas normalmente é desabilitado por padrão”.
“A equipe de TI desta organização estava acostumada a usar o ESXi Shell para gerenciar o servidor e havia habilitado e desabilitado o shell várias vezes no mês anterior ao ataque. No entanto, a última vez que eles habilitaram o shell, eles não o desabilitaram depois”, disse o pesquisador.
Depois de três horas, os invasores conseguiram implantar seu ransomware Python e criptografar os discos rígidos virtuais.
Com apenas 6kb, o pequeno script continha variáveis que o invasor pode configurar com várias chaves de criptografia, endereços de e-mail e onde pôde personalizar o sufixo do arquivo que é anexado aos arquivos criptografados, diz Brandt.
O script criou um mapa de diretório da unidade e inventou os nomes de cada máquina virtual no hipervisor, gravando-os em um arquivo chamado vms.txt. Em seguida, ele executa o comando ESXi Shell vim-cmd vmsvc/power.off, uma vez para cada VM, passando os nomes da VM para o comando como uma variável, um de cada vez, conta Brandt. Somente quando as VMs são desligadas, o script começa a criptografar os volumes do armazenamento de dados.
Assim que a criptografia foi concluída, os arquivos de reconhecimento foram substituídos pela palavra “f * ck” e, em seguida, excluídos.
“Python é uma linguagem de codificação não comumente usada para ransomware”, comentou Brandt. “No entanto, o Python é pré-instalado em sistemas baseados em Linux, como ESXi, e isso torna os ataques baseados em Python possíveis em tais sistemas. Os servidores ESXi representam um alvo atraente para os agentes de ameaças de ransomware porque podem atacar várias máquinas virtuais ao mesmo tempo, onde cada uma das máquinas virtuais pode estar executando aplicativos ou serviços essenciais para os negócios”.
Com informações do ZDNet.
